Cybersécurité : comment inclure des prestataires dans un plan de réponse à incident ?
Les entreprises concernées par les nouvelles exigences du règlement Dora ou de la directive NIS 2 doivent désormais inclure leurs prestataires dans la gestion de leurs risques cyber. Pour les deux textes, l'objectif est que "la cybersécurité des fournisseurs soit renforcée autant que les entités qu'ils visent. C'est pourquoi celles-ci doivent vérifier que leurs prestataires sont cohérents avec leurs propres exigences de sécurité", résume Eric Barbry, avocat spécialisé en droit de la cybersécurité. Pour elles, cela implique notamment de construire des plans de réponse à incident en collaboration avec leurs prestataires.
Un plan de réponse à incident est un ensemble de procédures qui permettent à une organisation de détecter, analyser et répondre rapidement à un événement affectant ou pouvant nuire à la sécurité de son système d'information. Il vise avant tout à minimiser l'impact opérationnel, juridique, financier et réputationnel de l'événement. "Inclure les prestataires dans ce plan est nécessaire car on a forcément une certaine dépendance à leur égard", estime Yann Rambourg, responsable de la sécurité des systèmes d'information (RSSI) de Septeo, entreprise française de solutions numériques pour professionnels du droit.
En outre, cela permet de garantir une réaction plus efficace en cas d'attaque. Surtout quand on sait qu'une partie des systèmes, applications et données critiques est souvent externalisée. Sans coordination organisée en amont avec les prestataires, la réponse à incident peut donc être ralentie, voire inefficace. Toutefois, en pratique, le degré d'inclusion des prestataires dans ce plan dépend de certains facteurs liés en partie à leur niveau de criticité, à leur taille et à la relation qu'entretient l'entreprise cliente avec eux.
Entretenir une relation de proximité quand c'est possible
Pour qu'une entreprise puisse inclure ses prestataires dans son plan de réponse à incident, il est préférable qu'elle entretienne des liens étroits avec leurs équipes selon Yann Rambourg : "Chez Septeo, nous veillons à maintenir une relation de proximité avec nos prestataires, en identifiant des interlocuteurs accessibles et réactifs. Ce type de contact est essentiel car il permet de fluidifier la gestion des incidents avec les équipes des prestataires. Si l'on doit passer par plusieurs niveaux avant de trouver la bonne personne, cela complique la réponse à l'incident. Si l'on se met directement en contact avec la personne pertinente, cela accélère la réponse. Cette proximité permet donc d'inclure les prestataires dans nos réponses à incidents".
Toutefois, il existe des cas où cette relation de proximité est plus difficile à mettre en œuvre. Il en va ainsi quand une petite ou moyenne entreprise (PME) compte un prestataire de taille importante comme certains fournisseurs de cloud ou d'hébergement de serveurs. "C'est moins facile d'entretenir une relation de proximité avec un fournisseur de grande taille quand on pèse moins que lui", estime Yann Rambourg. Jérôme Derouvroy, directeur gouvernance risque et conformité chez Nomios, va plus loin : "En cas d'incident, si le prestataire est une grosse structure et estime avoir fait le nécessaire, il va être difficile pour une petite ou moyenne entreprise de le mobiliser." Pour se rassurer, la PME peut néanmoins exiger de sa part un plan d'assurance sécurité (PAS) qui atteste de son respect de certaines règles de cybersécurité qu'elle lui impose, précise Jérôme Derouvroy.
En outre, la relation de proximité est souvent inexistante quand l'incident survient chez le prestataire alors même qu'il menace l'entreprise cliente : "Dans ce cas, le prestataire peut avoir des centaines, des milliers voire des millions de clients à avertir. Sa communication est donc unilatérale et il ne tient pas compte des plans de réponse à incident de chacun de ses clients. Il déploie son plan de gestion des incidents de la même manière pour tous ses clients", précise Yann Rambourg. Ce constat est d'autant plus vrai lorsque le prestataire est une grande structure et possède de nombreux clients. C'est pourquoi le RSSI de Septeo conseille aux PME de choisir des prestataires adaptés à leur taille s'ils le peuvent. "En cas d'incident, le petit prestataire a moins de clients à s'occuper et peut donc personnaliser ses réponses", ajoute-t-il.
N'inclure que les prestataires essentiels et au bon moment
Il n'est pas nécessaire d'inclure tous les prestataires dans un plan de réponse à incident. "Seuls ceux qui ont une fonction critique ou importante pour l'activité de l'entreprise doivent être mobilisés", indique Jean-Philippe Gaulier, RSSI et fondateur de Cyberzen, société spécialisée dans la cybersécurité des PME. "Si une entreprise prend feu alors que ses communications avec sa clientèle se font essentiellement par voie postale, mieux vaut qu'elle contacte en premier La Poste plutôt que Microsoft. Et ce, même si elle utilise la suite office 365", ironise Jean-Philippe Gaulier pour illustrer son propos.
Une fois que les prestataires essentiels à l'activité de l'entreprise ont été répertoriés, une cartographie qualifiant leurs rôles et fonctions doit être réalisée. Celle-ci permet d'identifier rapidement les fournisseurs critiques à contacter et mobiliser pour répondre efficacement à un incident. En outre, pour que l'incident nécessite de solliciter les prestataires identifiés, il faut que celui-ci soit "un événement suffisamment grave pour mettre en danger l'entreprise", rappelle Jean-Philippe Gaulier.
Entraîner les prestataires à la gestion d'incident
Inclure les prestataires dans un plan de réponse à incident nécessite aussi de les faire participer à des exercices de gestion de crise. Le règlement Dora l'impose même aux entités financières. Celles-ci sont obligées de réaliser régulièrement des tests de résilience opérationnelle, parmi lesquels figurent des exercices de simulation d'incident. Ces exercices doivent inclure les prestataires de technologies de l'information et de la communication qualifiés de critiques pour valider la coordination des procédures, la pertinence des contacts, les délais de réaction. Ils permettent aussi d'identifier d'éventuelles défaillances dans la chaîne de réponse.
Quant à la directive NIS 2, elle n'oblige pas les entités essentielles et importantes qu'elle vise à organiser de tels exercices avec leurs prestataires. Toutefois, celles-ci peuvent l'imposer à leurs fournisseurs via des clauses contractuelles, précise Jean-Philippe Gaulier.